某公司内网安全风险管理与审计系统1577623473.docx

《某公司内网安全风险管理与审计系统1577623473.docx》由会员分享，可在线阅读，更多相关《某公司内网安全风险管理与审计系统1577623473.docx（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、天珣内网安安全风险管管理与审计计系统安装配置手手册（V6.66.9.44）启明星辰Beijiing VVenusstechh Cybberviisionn Co., Lttd.2012年年11月天珣内网安全风险管理与审计系统V6.6.9.4 安装配置手册版权声明北京启明星星辰信息安安全技术有有限公司版版权所有，并并保留对本本文档及本本声明的最最终解释权权和修改权权。本文档中出出现的任何何文字叙述述、文档格格式、插图图、照片、方方法、过程程等内容，除除另有特别别注明外，其其著作权或或其他相关关权利均属属于北京启启明星辰信信息安全技技术有限公公司。未经经北京启明明星辰信息息安全技术术有限公司司书面

2、同意意，任何人人不得以任任何方式或或形式对本本手册内的的任何部分分进行复制制、摘录、备备份、修改改、传播、翻翻译成其它它语言、将将其全部或或部分用于于商业用途途。“天珣”为为北京启明明星辰信息息安全技术术有限公司司的注册商商标，不得得侵犯。免责条款本文档依据据现有信息息制作，其其内容如有有更改，恕恕不另行通通知。北京启明星星辰信息安安全技术有有限公司在在编写该文文档的时候候已尽最大大努力保证证其内容准准确可靠，但但北京启明明星辰信息息安全技术术有限公司司不对本文文档中的遗遗漏、不准准确、或错错误导致的的损失和损损害承担责责任。目 录版权声明1免责条款1信息反馈11综述42安装环环境及要求求43

3、.天珣珣内网安全全风险管理理与审计系系统主要组组件介绍63.1.服务器组组件63.1.11.中心策略略服务器63.1.22.本地策略略服务器63.1.33.资产管理理服务器63.1.44.Radiius服务务器63.1.55.攻击告警警服务器73.1.66.软件分发发服务器73.1.77.HOD远程程桌面服务务器73.2.策略网关关组件73.2.11.策略网关关代理73.2.22.中性策略略网关83.2.33.IIS策略略网关83.2.44.ISA策略略网关83.2.55.EXCHHANGEE策略网关关83.2.66.DNS策略略网关及旁旁路监听式式DNS策略略网关83.2.77.客户端93.

4、2.88.按需支援援管理端93.2.99.客户端打打包程序94.天珣珣内网安全全风险管理理与审计系系统的安装装94.1.快速安装装104.1.11快速安装装部署104.1.22基本配置置274.2.自定义安安装324.2.11自定义安安装中心服服务器324.3.本地服务务器的安装装配置334.3.11添加策略略服务器384.4.策略网关关配置384.4.11添加策略略网关代理理394.4.22安装中性性策略网关关394.5.远程桌面面的系统配配置464.5.11安装添加加远程桌面面服务器464.5.22添加远程程桌面管理理员464.5.33安装按需需支援管理理员端程序序474.5.44用户请求

5、求管理员远远程帮助494.6.软件分发发安装与配配置494.6.11安装软件件分发服务务器494.6.22配置软件件分发504.7.安装资产产服务器514.8.安装告警警服务器524.9.安装RADDIUS服服务器534.10客户端的的打包及分分发541 综述天珣内网安安全风险管管理与审计计系统的集集端点主动动安全防护护和桌面管管理于一身身，具有世世界领先水水平的产品品体系架构构，从根本本上解决了了客户端从从蠕虫病毒毒的主动防防御、可靠靠的补丁管管理、非授授权访问控控制、端点点准入控制制、桌面运运行环境的的标准化和和自动化管管理等一系系列问题，帮帮助用户创创建高可靠靠、高可用用和高安全全级别的

6、可可信任网络络环境。 天珣内网安安全风险管管理与审计计系统架构构如下图所所示。主要要由策略服服务器、天天珣客户端端、策略网网关组成。策略服务器器包括中心心服务器、本本地服务器器、补丁分分发服务器器、raddius服服务器、告告警服务器器等组件，所所有功能服服务器集中中管理，组组件可根据据具体情况况增减。数数据库采用用SQL SERVVER，统统一管理报报警日志及及审计等数数据。2 安装环境及及要求客户端（CCliennts） 计算机没没有很高的的系统要求求。客户端端软件(也被称CCC)可以被安安装在Wiindowws 系统之上，包括括 Winndowss20000 SP44, Wiindoww

7、s Servver 22003 和32/664位Winddows XP，Winddows Vistta, 332/644位Winddows Servver 22008，32/664位Winddows 7 数据库支支持32位 Miccrosooft SSQL SServeer 20000，32/664位 Miccrosooft SSQL SServeer 2000532/644位 Miccrosooft SSQL SServeer 20008中心服务器器（Servver） 是整个策策略架构的的管理中心心、策略中中心。必须须运行20003 SSERVEER SPP1 (332/644) 或 200

8、08 Seerverr SP11 (644)的平台台上。中心心服务器通通过webb方式管理理，要求安安装IISS服务器。其其对硬件要要求的高低低应根据所管理理的客户端端数量的多多少来定，其其中，服务务器安装要要求的最低低配置如下下：硬件：CPUPIIII 1G或以上上Memorry1G或以上上硬盘40G空闲闲软件：Windoows 22003 Servver SSP1以上上Interrnet Infoormattion Servvicess 6.00以上Dot NNet FFrameeworkk2.0MDAC 2.7或或以上中心服务器器、攻击告告警服务器器需要安装装SQL Servver数据据

9、库，可根根据现场环环境选择独独立安装或或集中安装装于中心服服务器，若若安装于中中心服务器器，请确保保中心服务务器有足够够的内存和和硬盘空间间。策略网关代代理(Pllug-in Proxxy)：管理所有有关联的策策略网关，策策略网关代代理从Loocal Servver上取取插件策略略。当策略略网关激活活时，策略略网关代理理将策略发送给给各个关联联的策略网网关。策略略网关代理理的主要作作用在于可可以将安装装在多个应应用服务器器上的有相相同插件策策略的插件件策略网关关交给同一一个策略网网关代理管管理，从而而简化管理理员的配置置；同时，各各个插件策策略网关可可相互共享享CC的状态态，如CCC1在插件件

10、1上通过了了认证，那那么通过插插件2访问时就就无需第22次认证，提提高系统性性能。IIS策略略网关、IISA策略略网关、EExchaange策策略网关以以及中性策策略网关：策略检查查点（checckpoiint），与CC配合强强制用户满满足策略。策略网关从关联的策略网关代理上取插件策略。3. 天珣内网安安全风险管管理与审计计系统主要要组件介绍绍天珣内网安安全风险管管理与审计计系统为CCSC架构构，即天珣珣客户端（Clients）、策略服务器（Server）、策略网关（Check Point）。3.1. 服务器组件件3.1.1. 中心策略服服务器所有策略集集中存放的的地方，系系统中唯一一的Web

11、b管理控制制台也与中中心服务器器集成在一一起。管理理员从Weeb管理控控制台登录录到Cennter Servver，进进行策略配配置，报表表查询。CCenteer Seerverr同时兼作作一个Loocal Servver。3.1.2. 本地策略服服务器本地策略服服务器是客客户端日常常取策略的地方方，也是客客户端发送送报表的目目的地。本本地策略服服务器从CCenteer Seerverr同步得到策策略。设置置本地策略略服务器的的目的是为为了适应企企业大区域域的分布式式分级管理理架构。本本地策略服服务器从中中心策略服服务器获取取策略，客户户端直接与与本地策略略服务器通通讯。3.1.3. Radi

12、uus服务器器Radiuus服务器器是天珣内内网安全风风险管理与与审计系统统网络准入入的必须组组件。结合合各类LDDAP认证证，使用8802.11x协议或或EOU协议议在交换机机网络端口口实施网络络准入认证证，确保只只有通过认认证的客户户端接入并并访问网络络。3.1.4. 攻击告警服服务器攻击告警服服务器兼作作为攻击日日志告警服服务器和终终端审计日日志服务器器，收集由由客户端发发来的攻击击告警信息息和终端审审计信息。并在中心服服务器管理理界面，可可进行统计计和分类查查询。3.1.5. 软件分发服服务器通过软件分分发服务器器可建立软软件安装包包，可根据据目标地址址或地址段段、指定时时间段分发发软

13、件包或或自定义文文件。3.1.6. HOD远程程桌面服务务器HOD远程程桌面服务务器用于记记录在线的的远程桌面面管理员的的相关信息息，为其关关联管理网网段后，管管理网段内内的用户就就可使用客客户端集成成的远程桌桌面客户端端，向在线线管理员发发起远程桌桌面帮助请请求。3.2. 策略网关组组件作为系统及及应用准入入的准入控控制点，检检查访问者者的客户端端运行状态态，与客户户端配合强强制用户满满足策略。策略略网关从策策略网关代代理上取策策略网关策策略。有时时策略网关关策略又叫插插件策略。策略略网关分为为中性策略略网关和IIS、ISA Proxxy、Emaiil、DNS等插插件策略网网关。3.2.1.

14、 策略网关代代理策略网关的的管理者。所所有的策略略网关都直直接连接到到策略网关关代理，从从策略网关关代理获取取策略，接受受管理。而而策略网关关代理直接接指向策略略服务器，并并从策略服服务器获取取策略。连接接到同一个个策略网关关代理的所所有策略网网关使用相相同的策略略。设置策策略网关代代理这个角角色的目的的是简化策策略网关的的配置，因因为有时一一个企业需需要安装多多个策略网网关，而每每个策略网网关的策略略相同。3.2.2. 中性策略网网关中性策略网网关，也叫做中中性插件，是安装在任意的X32位的Windows 2000 /2003/2008服务器或Linux的服务器上，执行应用准入控制，它与安装

15、的服务器操作系统有关，而与该服务器运行何种应用无关。当终端访问问到该服务务器，都需需要进行安安全基线检检查，若不不符合安全全策略，将将被拒绝访访问该服务务器，并给给出提示信信息（只有有基于htttp访问问，才能正正确提示）。其中安全基线包括是否安装客户端软件、安装客户端软件的终端是否达到安全策略要求。3.2.3. IIS策略略网关部署在IIIS服务器器上，对所有访问该该WEB服务务器的终端端实施应用准准入控制，检检查终端是是否符合安安全策略，若若不符合策策略，则拒拒绝访问，并并给出提示示信息。3.2.4. ISA策略略网关对所有通过过ISA服务务器上网的的终端，实施施应用准入控控制，若不不符合

16、安全全策略，则则不允许终终端通过ISAA访问INTTERNEET，并给给出提示信信息。3.2.5. EXCHAANGE策策略网关部署在Exxchannge邮件件服务器上上，对访问问EXCHHANGEE邮件服务务器的终端端实施应用准入控控制，检查查客户端是是否符合安安全策略。对于不符合安全策略的终端，Exchange策略网关将阻断其邮件服务，并给出提示信息。（只支持EXCHANGE 2003邮件服务器）3.2.6. DNS策略略网关及旁旁路监听式式DNS策略略网关普通DNSS策略网关关部署在DNNS服务器器上，对需需要进行DDNS域名名解析的终终端实施准准入控制，检检查终端是是否符合安安全策略，

17、对对于不符合合安全策略略的终端，DNS策略网关将阻断其DNS请求，并给出提示信息。如果是旁路监听式DNS策略网关，则可部署在DNS服务器上也可部署在互联网出口的某台服务器上对所有DNS请求进行监听。如果是在DNS服务器上，那么功能与传统DNS策略网关相同，如果不是，那么旁听式的DNS网关必须安装在链接互联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS请求进行镜像，并在旁听式DNS网关的端口上进行监听，对需要进行DNS解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，旁听式DNS策略网关将阻断其DNS请求，并给出提示信息。3.2.7. 客户端每台终端都都

18、必须安装装客户端（CC）。客户端是安装在每个被策略管理的用户的电脑上的代理程序。执行企业策略，安全基线检查，客户端准入控制，访问控制，主动安全防御，资产管理，远程帮助，软件分发，移动存储认证和控制，终端行为审计终端相关功能。从本地策略服务器上取策略，向本地策略服务器发送报表，当用户不满足策略时，向用户提示相关信息。3.2.8. 按需支援管管理端如果安装了了按需支援援（HODD）的远程程桌面服务务器，需要要在承担远远程支持服服务的管理理员电脑上上安装按需需支援管理理端软件。安安装完成后后，如果有有终端用户户发来远程程支持请求求，远程支支持管理员员就可以收收到请求信信息，并直直接进行远远程协助。3

19、.2.9. 客户端打包包程序客户端代理理软件的打打包程序。客客户端打包包程序将和和中心服务务器一起安安装。打包包程序将服服务器IPP地址、指指定安装目目录、是否否静默安装装、是否采采用网络准准入等参数数与安装程程序打包成成可执行文文件。4. 天珣内网安安全风险管管理与审计计系统的安安装安装部署共共有两种安安装选项：快速安装装和自定义义安装。运行Auttorunn.exee后出现以以下主安装装界面。4.1. 快速安装快速安装默默认安装服服务器的以以下组件：中心策略略服务器、中中心同步服服务器、天天珣服务状状态监控服服务、远程程桌面服务务器、攻击击告警服务务器、RAADIUSS服务器、策策略网关代

20、代理服务器器、中性策策略网关、DNS策略略网关、软软件分发服服务器、客客户端打包包程序，服务器卸卸载工具。快速安装选选项的目的的是一次安安装所有服服务器相关关的组件及及DNS准入入控制组件件，如果部部署在网络络出口，则则可利用DDNS准入入达到即插插即用的效效果。对中中小应用环环境，我们们的方案首首推这种即即插即用的的部署。4.1.1 快速安装部部署1 快速安装。将将天珣内网网安全风险险管理与审审计系统安安装光盘放放入光驱，可可直接进入入安装选择择界面。请请点击“快速安装装” 。2 进入天珣内内网安全风风险管理与与审计系统统服务器的的快速安装装界面。3 安装程序检检测系统环环境。1）系统必必须

21、安装 “MDACC2.7或或以上版本本”,“IIS”和“Dot Net Frammeworrk 2.或者以上上版本”。系统还还未安装上上述的系统统组件。则则不能进行行下一步操操作。可以以点击旁边边的“安装”按钮安装装所需的系系统组件。 2）系统组组件所用的的SQL Servver 可可以选择连连接到本机机或者其它它机器的SSQL SServeer。如果您想将将系统组件件所用的SSQL SServeer部署在在本机，本本机又没有有安装SQQL Seerverr。您可以以选择安装装SQL Servver。您您也可以选选择点击检检测界面SSQL SServeer旁边的的“安装”按钮，运运行安装光光盘

22、带的里里的SQLL SERRVER22005 EXPRRESS版版本。（注注意：SQQL Seerverr Exppresss 20005是由微微软公司开开发的 SSQL SServeer 20005的缩缩减版，这这个版本是是免费的，单单个数据库库大小限制制为4G）。进行解压缩缩，压缩完完成后将如如下图：点击下一步步，进行组组件的配置置配置完成请请点击neext,进进行数据库库的安装：点击下一步步，可以看看到配置组组件成功，继继而就可以以安装数据据库了。输输入用户名名和公司名名，再点击击下一步：注意：为安安装的方便便，请将数数据库所有有的组件均均选中，进进行完全的的安装，数数据库建议议使用6g

23、g的磁盘空空间，所以以请选择适适当的磁盘盘。选择认证模模式为混合合模式，并并输入密码码，点击下下一步；选择模式设设置，点击击下一步；点击安装并并等待安装装完毕。配置SQLL SERRVER数数据库1、打开SSQL数据据库配置管管理工具（SQL Server Configuration Manager）配置SQL EXPRESS的ip协议为tcp1433（当然也可以更改端口）如下：双击，弹弹出下图，配配置如下图图：Enablled选项项默认为“No”，修改为“Yes”。注意：ipp地址为安安装数据库库的实际iip地址，TCCP Poort请填填写“14333”。点击应应用并重新新启动sqql数据

24、库库的服务如如下图： 安装完SSQL SSERVEER20005 EXXPRESSS之后。安安装检测程程序会自动动开启SQQL Seerverr 的14333监听端口口。（注意意：如果系系统已经安安装SQLL数据库, 天珣内网网安全风险险管理与审审计安装程程序是不会会帮助SQQL Seerverr 打开14333监听端端口）。4 安装过程中中，系统会会提示用户户选择安装装的组件的的路径，并并需要管理理员指定中中心服务器器IP地址、初初始管理网网段地址等等信息。1）指定服服务器的安安装路径，安安装组件所所在盘符的的空闲空间间必须大于于2G2）指定中中心服务器器IP地址,预置为当当前服务器器已连通

25、网网卡的地址址，管理控控制台默认认端口为88833，请请确保88833端口口未被其他他应用占用用；3）设置中中心服务器器中初始管管理网段地地址，预置置是当前选选择网卡地地址的子网网网段；4）选择使使用管理模模式；5）设置所所用的SQQL Seerverr 的连接接的参数；6）填写创创建数据库库的用户的的帐号。预预置用户名名是tx_userr ,密码是是 !QAZZWSXX#EDCC$RF11qaz22wsx33edc44rf7）安装程程序将提示示您选择授授权文件LLicennse.ddat的路路径。Liicensse.daat文件请请与启明星星辰联系获获取最新的的授权文件件。点击“浏览”选择受

26、权权文件的路路径，选择择有效的授授权文件如如果服务,若没有授授权，需使使用上级服服务器分配配的授权，则则点击使用用上级授权权.8）安装检检查完成，点点击“安装”进行快速速安装部署署；5 快速安装的的安装完各各组件之后后，安装程程序会自动动运行客户户端打包程程序进行客客户端安装装包的制作作. 其中可以以自行设置置中心服务务器地址，指指定客户端端的安装目目录以及客客户端的安安装模式。总总共可设置置三种安装装模式，以以普通模式式安装时会会出现提示示对话框，需需由用户进进行“确认用户户许可” 、“选择安装装目录”等操作；以自动模模式安装时时会出现安安装界面，但但不需要用用户进行任任何操作，客客户端将自

27、自动安装至至默认目录录；以静默默模式安装装时，正常常情况下客客户端安装装过程中不不会有任何何提示，客客户端将自自动安装至至默认目录录，如果安安装的是带带防火墙模模块的客户户端则安装装完毕后会会有重新启启动计算机机的提示。此此外该打包包程序还提提供了多种种选择，用用户可灵活活选择客户户端安装包包是否包含含802.1x交换换机认证模模块。说明：打包包客户端工工具的使用用以winnrar软软件为前提提，在安装装客户端打打包工具前前请确保操操作系统中中已经安装装有winnrar软软件。制作客户端端包完成之之后。关掉掉客户端打打包工具程程序。即弹弹出要求系系统重启的的界面。重重启系统。此此时快速安安装部

28、署天天珣内网安安全风险管管理与审计计系统已经经完成。6 安装完成后后，请先检检查%InnstalllFollder%connfigdataabasee目录的安安全属性，确确定该目录录及目录下下的文件能能被Sysstem用用户及从WWeb登录录的管理员员修改或者者已赋予eeveryyone用用户完全控控制权限。然然后请进入入服务控制制器，若系系统已经自自动添加并并运行“ES CCenteer Seerverr”服务，则则表明中心心服务器已已经安装配配置成功。7 在天珣内网网安全风险险管理与审审计系统中中心服务器器的默认安安装目录CC:Prrograam FiilesVenuustecchEnnd

29、poiint SSecurrityESSeerverr中，Connfig目目录是天珣珣内网安全全风险管理理与审计系系统的Weeb管理站站点主目录录；Dowwnloaad目录是是下载服务务的根目录录，用于存存放天珣内内网安全风风险管理与与审计系统统客户端安安装包、系系统补丁等等相关的软软件。8 安装程序会会自动创建建一个虚拟拟主机“天珣内网网安全风险险管理与审审计系统配配置服务”，这个虚虚拟主机对对应上文所所提到的“C:PProgrram FFilessVennusteechEEndpooint SecuurityyESSServeercoonfigg”目录，对对应的TCCP端口则则为88333

30、。注意：由于于系统88833端口口可能事先先被占用等等原因，可可能会造成成策略服务务器安装设设置虚拟站站点不成功功，在这种种情况下请请手动设置置IIS，创创建天珣内内网安全风风险管理与与审计系统统配置服务务虚拟站点点：1) 修改%InnstalllFollder%connfigdataabasee目录的安安全属性，使使该目录及及目录下的的文件能被被Systtem用户户及从Web登录录的管理员员修改或者者赋予evveryoone用户户完全控制制权限。2) 创建一个虚虚拟站点，作作为webb管理界面面的入口。l 打开Intterneet服务管管理器，右右击服务器器名称，点点击“新建Webb站点”。

31、l 根据提示进进行到“IP地址和和端口设置置”，将端口口变为“88333”，其他设设置保存为为默认。天天珣内网安安全风险管管理与审计计系统的WWeb管理理端口默认认是88333，您也也可以指定定其他端口口。当您使使用其它端端口时，您您需要在“服务器设设置”中修改服服务器的管管理端口信信息。l 在指定Weeb站点主主目录时将将目录设为为%InsstalllFoldder% ESSServeer cconfiig，并将“允许匿名名访问此WWeb站点点”选项去除除。l 完成后续的的步骤完成成虚拟站点点配置。l 从服务控制制器中启动动ES CCenteer Seerverr Serrvicee，安装配

32、配置中心SServeer完成。 安装装成功后，请请在浏览器器输入网址址（如htttp:/loccalhoost:88833），进进入天珣内内网安全风风险管理与与审计系统统配置服务务虚拟站点点，进行策略等相关关设置，然然后再安装装相应的策策略网关。4.1.2 基本配置安装完中心心服务器，需需要添加管管理网段和和IP组，设设置保护网网络的边界界。4.1 2.1. 修改全局策策略控制设置天天珣内网安安全风险管管理与审计计系统服务务器和客户户端的一些些开关性质质的内容和和最基本的的参数，此此处的参数数决定策略略系统的运运行方式和和后台交互互的频度，以以及全局范范围内的默默认设置。说明：一般般初步测试试

33、时，只需需更改如下下两项的参参数，其余余参数可按按需修改或或保持默认认值。客户端启动动后发送报报表时间，如如果本地客客户端检查查了对方客客户端，对对方客户端端的信息在在本地有一一个缓存，此此处指定的的时间就是是缓存的时时间，单位位为分钟。缓缓存一过期期，又要重重新检查远远端的客户户端。这个个时间也决决定了客户户端最少多多长时间向向Primmary Servver发送送一次报表表（如果需需要发送）。默默认时间为为15分钟。一一般在测试试中可设置置为稍短的的时间，例例如2分钟，这这样可尽快快看到测试试效果。安全防护相相关设置，在在访问控制制策略中，如如果没有指指定操作类类型，则以以此处设定定的操作

34、类类型为准。4.1 2.2. 添加策略服服务器 配置天珣内内网安全风风险管理与与审计系统统的第一步步。天珣内内网安全风风险管理与与审计系统统支持分布布式多服务务器架构。天天珣内网安安全风险管管理与审计计系统需要要一个中心心服务器，也也只需一个个中心服务务器。同时时也至少需需要一个本本地服务器器，本地服服务器可由由中心服务务器兼任。所所以中心服服务器同时时也是一个个本地服务务器。当您您配置中心心服务器时时，同时也也是在配置置其兼任的的本地服务务器，请在在其“中心服务务器IP地址”栏位上填填写自己的的IP地址。（快快速安装模模式和自定定义安装中中心服务器器都已经默默认配置中中心策略服服务器的参参数

35、）4.1 2.3. 添加管理网网段 配置天珣内内网安全风风险管理与与审计系统统的第二步步。管理网网段一般配配置一个大大的网段，包包括一个企企业园区，或或一个办公公区域；管管理网段可可以包含很很多小的网网段，比如如开发部的的子网段等等，这些小小网段共享享相同的本本地服务器器，下载服服务器，补补丁安装策策略。例如如：1922.1688.0.110-1992.1668.0.252点击管理网网段设置，显显示所有的的servver，用用户选中一一个serrver，进进入该seerverr的管理网网段的管理理。先显示示这个seerverr的所有的的管理网段段。权限：普通通用户只能能修改自己己所管理的的管理

36、网段段的下载服服务器信息息，其他信信息由全局局管理员进进行配置。点击添加可可添加不同同的管理网网段。可以为不同同的管理网网段指定不不同的下载载服务器，默默认的下载载服务器位位于Priimaryy Serrver上上的HTTTP :/loccalseerverr:88333/doownlooad/。4.1 2.4. 添加IP组组IP是管理理网段的一一个子网段段，天珣内内网安全风风险管理与与审计系统统的策略作用对对象分别为为IP地址和和用户，IIP组是IP地址策略作用的的最小单位位。点击“IP组”，用户可可选择按照照服务器及及管理网段段分类查看看IP组。每每个用户可可以添加IIP组，修修改、删除除

37、自己所管管理的IPP组点击“添加加”，添加IPP组。填入IP组组的名称和和IP地址。选选择所属的的服务器和和管理网段段。排除的IPP地址：填填写在IPP地址段中中不需要包包含的IPP地址。本IP组应应用的策略略：通过查看看及编辑按按钮进行此此IP组的相相应策略配配置。若此此IP组还没没有设置策策略的话，则则会在此处处提示用户户“还没有应应用策略”。认证策略：选择IPP内的CC是否启启用用户登登录和可信信MAC，UMI绑定策策略。4.2. 自定义安装装自定义安装装是可选择择地安装服服务器各组组件。可分别选择择安装各服务务器组件的的安装程序序，以便高高级用户单单独安装一一些服务组组件或重装装维护一

38、些些服务器组组件。4.2.1 自定义安装装中心服务务器自定义安装装中心服务务的安装界界面与快速速安装类似似。有区别的是是自定义安安装中心服服务器可以以根据需要要其它组件件安装（注注意：默认认自定义安安装中心服服务器时，至至少要安装装中心服务务器和软件件分发服务务器。具体体操作可见见上面的快快速安装。4.3. 本地服务器器的安装配配置1 点击“安装装天珣本地服服务器”进入天珣珣内网安全全风险管理理与审计系系统服务器器的本地服服务器安装装界面。2 本地服务器器安装程序检检测系统环环境。1）系统必必须安装 “MDACC2.7或或以上版本本”,“IIS”和“Dot Net Frammeworrk 2.

39、或者以上上版本”。系统还还未安装上上述的系统统组件。则则不能进行行下一步操操作。可以以点击旁边边的“安装”按钮安装装所需的系系统组件。 2）系统组组件所用的的SQL Servver 可可以选择连连接到本机机或者其它它机器的SSQL SServeer。如果您想将将系统组件件所用的SSQL SServeer部署在在本机。本本机又没有有安装SQQL Seerverr。您可以以选择方式式安装SQQL Seerverr。您也可可以选择点点击检测界界面SQLL Serrver旁旁边的“安装”按钮，运运行安装光光盘带的里里的SQLL SERRVER22005 EXPRRESS版版本。（注注意：SQQL Se

40、erverr Exppresss 20005是由微微软公司开开发的 SSQL SServeer 20005的缩缩减版，这这个版本是是免费的，单单个数据库库大小限制制为4G）。3）安装完完SQL SERVVER20005 EEXPREESS之后后。安装检检测程序会会自动开启启SQL Servver 的的14333监听端口口。（注意意：如果系系统已经安安装SQLL数据库, 天珣内网网安全风险险管理与审审计安装程程序是不会会帮助SQQL Seerverr 打开14333监听端端口）。 3 安装过程中中，系统会会提示用户户选择安装装的组件的的路径，并并需要管理理员指定中中心服务器器IP地址。1）指定服

41、服务器的安安装路径，安安装组件所所在盘符的的空闲空间间必须大于于2G2）指定中中心服务器器IP地址3 ）根据据需要其它它组件安装装，可选择择的组件有有：Raddius服服务器，策策略网关代代理服务器器，告警及及审计服务务器，软件件分发服务务器。4）安装检检查完成。点点击安装进进行安装。（安安装完成之之后。即完完成自定义义本地服务务器安装，如如果需要的的其它服务务器或者网网关，组件件等未安装装。还可以以再点击进进入天珣策略系系统网关或或者天珣系统其其它组件界界面进行安安装。）4.3.1 添加策略服服务器 配置天珣内内网安全风风险管理与与审计系统统的本地服服务器。天天珣内网安安全风险管管理与审计计

42、系统支持持分布式多多服务器架架构。天珣珣内网安全全风险管理理与审计系系统需要一一个中心服服务器，也也只需一个个中心服务务器。同时时也至少需需要一个本本地服务器器，本地服服务器可由由中心服务务器兼任。所所以中心服服务器同时时也是一个个本地服务务器。当您您配置中心心服务器时时，同时也也是在配置置其兼任的的本地服务务器，请在在其“中心服务务器IP地址”栏位上填填写自己的的IP地址。如需添加另另外一个本本地服务器器。即填写写在管理页页面中添加加本地服务务器地址和和中心服务务器的地址址。若不是是大于10000点的的用户，一一般使用默默认的使用用中心服务务器的数据据库连接参参数。4.4. 策略网关配配置策

43、略网关是是系统及应应用准入的的准入控制制点，检查查访问者的的客户端是是否运行，与与客户端配配合强制用用户满足策策略。策略略网关的配配置主要包包括添加策策略网关代代理、安装装中性策略略网关或IIIS/IISA/EEXCHAANGE策策略网关、配配置准入控控制的网段段。4.4.1 添加策略网网关代理策略网关代代理代表一一组策略网网关，具有有相同的管管理功能，在在策略配置置时，将这这一组策略略网关作为为一个管理理对象来管管理。建议议提供网络络服务的服服务器都安安装策略网网关，以保保护服务器器的例如，WEB、EXCHANGE、ISA等服务，对访问此服务的客户端实施准入控制，确保服务器的安全。4.4.2

44、 安装中性策策略网关放入光盘，选选择安装天天珣系统策策略网关，得得到如下图图所示：策略网关代代理可以安安装在中心心服务器上上，中性策策略网关可可以自定义义保护的端端口号，用用于一些使使用指定端端口的应用用软件，默默认保护880和80800端口。安装完成后后，中性策策略网关配配置程序启启动进行驱驱动、端口口检查、可可忽略检查查IP的配置置。配置中性策策略网关驱驱动程序。首首先安装驱驱动程序，当当驱动程序序已经安装装时，“安装驱动动”按钮不可可用。安装装完驱动程程序后，驱驱动默认对对所有的网网卡进行监监控。如果果运行中性性策略网关关的机器上上有多块网网卡，需要要将不直接接与客户端端通讯的网网卡选择

45、状状态改为不不选中，然然后点击“应用网络络配置”按钮使配配置生效。如如果安装驱驱动后没有有显示出监监控的网卡卡，请参考考后面进行行驱动的手手工安装配配置。配置中性策策略网关使使用的策略略网关代理理地址、监监控TCPP端口的范范围以及可可忽略检查查的IP地址。程程序默认监监控80和80800端口。点击保存，完完成中性策策略网关配配置。注意：如果果在网络驱驱动配置页页面成功安安装并设置置了中性策策略网关驱驱动程序，就就不再需要要进行手工工驱动安装装。但对于于某些存在在问题的系系统，可能能会出现安安装驱动不不成功的现现象，此时时需要手工工安装驱动动程序以发发现错误原原因。如果果安装了错错误的驱动动，

46、会导致致系统不稳稳定或崩溃溃。驱动安安装方法如如下，打开开本地连接接的属性，选选择安装，再再选择服务务，然后点点添加。在选择网络络服务对话话框中，选选择“从磁盘安安装”,然后选择择中性策略略网关目录录下的wiin20000或win22003子子目录中的的netssf.innf文件（对对Win22000，请请安装wiin20000子目录录下的驱动动程序，对对Win22003安安装winn20033子目录下下面的驱动动程序），选选择LPSSGWIMMD Drriverr组件，点点击确定开开始安装。安安装过程中中可能会提提示驱动没没有经过数数字签名认认证，选择择继续安装装，直到安安装完成。安装完成后后，在本地地连接的属属性中可看看到LPSSGWIMMD Drriverr。如果运行行中性策略略网关的机机器上有多多块网卡，需需要将不直直接与客户户端通讯的的网络连接接上的LPPSGWIIMD DDriveer选择状状态改为不不选中即不使用用LPSGGWIMDD组件。安装完成后后，请进入入服务控制制器，若系系统已经自自动添加并并运行“GateewayPPlugiin Seervicce”服务，则则表明中性性策略网关关已经安装装配置成功功。4.4.2.1 添加准入控控制的IPP组通过添加策策略网关准准入控制的的网段，确确定对哪些些访问